Noll
Coinhive har erkänt att han har en säkerhetslucka som leder till hackare kapning cryptocurrency gruv-skript på legitima webbplatser.
Den cryptocurrency mining programvara leverantör sade i veckan att cirka 10 pm GMT på måndag, fast fick ett meddelande från dess DNS-leverantör, Cloudflare som varnade Coinhive som sitt konto hade kunnat nås genom en hot skådespelare.
DNS-poster för coinhive.com hade manipulerats för att omdirigera begäran om coinhive.min.js till en server hos tredje part, som innehåller en modifierad version av JavaScript-fil med en hårdkodad site key.
Den Coinhive Javascript är inbäddad av användare i sina webbplatser som ett sätt att bryta för cryptocurrency Monero, men angriparna var kan kapa detta skript för att säkerställa bryts medel in i en plånbok de kontrollerade snarare än användarnas plånböcker.
“Detta är i huvudsak låt angriparen “stjäla” hashar från våra användare,” Coinhive säger.
De skript som används för att genomföra cryptocurrency gruvarbetare i webbdomäner är en ny, om än kontroversiell idé.
Gruvdrift för virtuell valuta behandlas som ett alternativ till tredje part annonser som ett sätt att generera intäkter och det var the Pirate Bay ‘ s pilot rättegång som drivs tanken i strålkastarljuset.
På grund av ett kodningsfel, användare upptäckte webbplats miner som drog enorma mängder av CPU-kraft från besökare system, snarare än 20 till 30 procent som tänkt.
Följande besökaren bakslag, the Pirate Bay tas upp till provning av de gruvarbetare som ett “sätt att bli av med alla annonserna.”
Andra partier har börjat utforska gruvdrift, också. Enligt en rapport från Adguard, 2,2 procent av upp till 100 000 webbplatser på Alexa listan är nu gruvdrift genom användarnas Datorer-men få är att be om tillåtelse först.
Coinhive gruvarbetare är för närvarande stoppade från den löpande av många adblockers, men för webbplatser som använder programvara för att generera pengar, att förlora sina hash-värden skulle sannolikt vara uppfyllda med irritation.
Se även: nära Förestående Bitcoin Guld gaffel möts med skepsis
Det verkar som om Cloudflare konto referenser kan ha läckt ut i Kicken dataintrång.
Tillbaka 2014, hackare kunde få åtkomst till vissa konton och stjäla kunden användarnamn, e-postadresser, postadresser, telefonnummer och krypterade lösenord.
Eftersom lösenord tagit var krypterade, det kan vara så att Coinhive är Cloudflare lösenord var särskilt svaga och känsliga för en “brute force” -attack.
Bolaget är dock ingenting om inte ärlig om var den verkliga skulden ligger.
“Vi har lärt oss hårda lärdomar om säkerhet och används 2FA och unika lösenord till alla tjänster sedan, men försummade vi att uppdatera vår år gamla Cloudflare konto” Coinhive säger. “Vi är djupt ledsen om detta allvarliga misstag.”
Tack och lov för användare utan konto information läckt ut och Coinhive webbplats domän och databas-servrar inte kan nås.
För att släta över security incident, Coinhive planer på att kreditera alla webbplatser som använder skriptet med ytterligare 12 timmar av sin genomsnittliga dagliga hashrate.
Tidigare och relaterade täckning
Pirate Bay använder din DATOR för att min cryptocurrency i strävan att bli ad-fria 500 miljoner Datorer används för stealth cryptocurrency gruv-online-Hur mycket kostar Pirate Bay cryptocurrency miner göra?
0